PDA ve akıllı telefonlar hergün daha da fazla hayatımıza giriyor. Bizlerse bu cihazları hergün daha da fazla, önemli bilgilerimizi saklamak ve organize etmek için kullanıyoruz. Bunlar arasında kredi kartı ve banka bilgileri dahi bulunuyor. Kişisel kullanımın dışında işletmeler, verimliliklerini artırmak için çalışanlarının taşınabilir cihazlarında birçok kritik firma bilgisini de barındırmak zorunda kalıyorlar. Tabii, iş bu noktaya geldiğinde güvenlik büyük önem kazanıyor. Örneğin Avrupa Birliği, WiTness Projesi kapsamında, 2004 yılında, işletmelerin bilgilerini GSM şebekesi vasıtasıyla daha güvenli taşıyabilmesi için destekte bulunmuştur. Aşağıda örnek bir satıcı için hazırlanmış senaryo görülmektedir:
fig13.jpg
Windows Mobile Pocket PC’ler iletilen verinin şifrelenmesi için herhangi bir mekanizma içermezler (burada bahsedilen kablosuz erişim değildir). Hatta cihaz içindeki bilgi iletişimi de güvenli değildir. Tasarımı sonucu PPC’ler ne bellek bloklarını ne de uygulamaları birbirinden ayrı tutmazlar. Cihazda çalışan her program, kendi başına, çalışma önceliklerini değiştirebilir, diğer uygulamaları sonlandırabilir, diğer uygulamaların çalışma belleklerine müdahale edebilir ve cihazın enerji koruma moduna geçişini engelleyebilirler. Cihazların giriş şifreleri kullanıcı tarafından tamamiyle kapatılabilir ve hatta bu özellik varsayılan olarak çoğunlukla kapalıdır. Ayrıca, cihazdaki bilgilere göz koymuş biri kolaylıkla cihazdaki harici depolama birimini alabilir ve içindeki bilgilere rahatlıkla ulaşabilir. Hatta daha da kötüsü, bu yolla PDA içine kötü amaçlı bir yazılım da yüklenmesi mümkün. Bu yazılımlar sahte mesajlar görüntüleyerek kullanıcıyı yanıltabilir. Hatta buna dahi gerek kalmadan enfekte olmamış bir PDA’de bile, Windows Mobile’ın ActiveX ve Java desteği nedeniyle, bu tür zararlar oluşabilir. Ayrıca, PPC’de kaynak kodu açık olmadığı için teorik olarak gizli kötü niyetli yazılımların çalıştırılması da mümkündür. Bu nedenle cihazlara kurulacak 3ncü parti yazılımlarla, tampon bellek taşmaları ve DMA fonksiyonlarının manipülasyonuna engel olmak mümkün değildir. Kullanıcı hak tanımlamaları bulunmadığı için her türlü program tam yetki ile sisteme erişebilmektedir. Özellikle Pocket PC 2002 sürümü, PDA Secure ve PDA Defense gibi, 3ncü parti yazılımlarla kapatılamayan birçok açığa sahiptir. Dahası, PPC için kesinlikle bir sertifika yönetimi olmalıdır. Ekstra yazılımlarla sağlanan bir sertifika yazılımı bulunmadığı için de PPC’ler sadece kişisel kullanım için uygundur. Linux Linux işletim sistemi, günümüze kadarki işletim sistemleri içinde en güvenli ortamı sağlamaktadır. Bunu ise prosesler için izinleri ve öncelikleri belirleyebilme yeteneğine borçludur. Ancak bunun yanında, DMA fonksiyonları ve izinsiz ve kontrolsüz eşlemeler gibi birçok açığı da bulunmaktadır. Dahası Linux için yazılmış birçok virüs ve truva atı da bulunmaktadır. Durumu biraz daha sıkıntıya sokan nokta ise, Linux için 3ncü parti herhangi bir güvenlik yazılımına sahip olmamasıdır. Mevcut Linux kullanan çok fazla cihaz olmayışı da, diğer işletim sistemlerinin yerine Linux kullanmak isteyen firmalar için oldukça riskli görülmektedir. Linux, diğer işletim sistemleri arasında en güvenilir işletim sistemi olarak görülmekle birlikte yukarıda bahsedilen nedenlerele "tam güvenilir" işletim sistemi olarak tanımlanamamaktadır.
Sonuç Bugün, mobil işletim sistemlerinin hiçbiri yüksek güvenlik gerektiren uygulamalar için uygun değildir. Hiçbir işletim sistemi güvenli bir veri giriş/çıkışı sağlamamaktadır. Dahası, birçok güvenlik açığına da sahiptirler. Bu nedenle mobil cihazlar, devamlı olarak güvenlik yönünde iyi izlenerek kullanılmalı ve belirli bazı riskleri taşıdıkları kabul edilmelidir. Riskli uygulamalarda PDA Defense gibi programların kullanılması bu açıkların çoğunluğunun ortadan kaldırılması için faydalı olacaktır. Diğer yandan son kullanıcılar için, çok fazla sayıda güvenlik yazılımının bir arada kullanılması da, hem yatırım maliyetlerini fazlaca yükseltecek hem de bu uygulamaların yönetilebilirliğini azaltacaktır. Bu sepeble, kişisel kullanım dışında bir amaçla taşınabilir cihazları kullanacaksanız, gözünüz hep üzerinde olmalıdır ve bazı temel güvenlik paketlerine de bütçe ayırmanız gerekebilir.
Son olarak Avustralya hükümetinin, taşınabilir cihazların işte kullanılmaları üzerine yaptığı araştırma sonuçlarını verip yazıyı sonlandırmak istiyorum. Böylece profesyonel kullanımda yönelimlerin doğrultusu daha açık olarak görülebilir.
MOBİL CİHAZLARDA GÜVENLİK
SYMBIAN
LINUX
SONUC
PDA ve akıllı telefonlar hergün daha da fazla hayatımıza giriyor. Bizlerse bu cihazları hergün daha da fazla, önemli bilgilerimizi saklamak ve organize etmek için kullanıyoruz. Bunlar arasında kredi kartı ve banka bilgileri dahi bulunuyor. Kişisel kullanımın dışında işletmeler, verimliliklerini artırmak için çalışanlarının taşınabilir cihazlarında birçok kritik firma bilgisini de barındırmak zorunda kalıyorlar. Tabii, iş bu noktaya geldiğinde güvenlik büyük önem kazanıyor.
Örneğin Avrupa Birliği, WiTness Projesi kapsamında, 2004 yılında, işletmelerin bilgilerini GSM şebekesi vasıtasıyla daha güvenli taşıyabilmesi için destekte bulunmuştur. Aşağıda örnek bir satıcı için hazırlanmış senaryo görülmektedir:
Windows Mobile
Pocket PC’ler iletilen verinin şifrelenmesi için herhangi bir mekanizma içermezler (burada bahsedilen kablosuz erişim değildir). Hatta cihaz içindeki bilgi iletişimi de güvenli değildir. Tasarımı sonucu PPC’ler ne bellek bloklarını ne de uygulamaları birbirinden ayrı tutmazlar. Cihazda çalışan her program, kendi başına, çalışma önceliklerini değiştirebilir, diğer uygulamaları sonlandırabilir, diğer uygulamaların çalışma belleklerine müdahale edebilir ve cihazın enerji koruma moduna geçişini engelleyebilirler. Cihazların giriş şifreleri kullanıcı tarafından tamamiyle kapatılabilir ve hatta bu özellik varsayılan olarak çoğunlukla kapalıdır. Ayrıca, cihazdaki bilgilere göz koymuş biri kolaylıkla cihazdaki harici depolama birimini alabilir ve içindeki bilgilere rahatlıkla ulaşabilir. Hatta daha da kötüsü, bu yolla PDA içine kötü amaçlı bir yazılım da yüklenmesi mümkün. Bu yazılımlar sahte mesajlar görüntüleyerek kullanıcıyı yanıltabilir. Hatta buna dahi gerek kalmadan enfekte olmamış bir PDA’de bile, Windows Mobile’ın ActiveX ve Java desteği nedeniyle, bu tür zararlar oluşabilir. Ayrıca, PPC’de kaynak kodu açık olmadığı için teorik olarak gizli kötü niyetli yazılımların çalıştırılması da mümkündür. Bu nedenle cihazlara kurulacak 3ncü parti yazılımlarla, tampon bellek taşmaları ve DMA fonksiyonlarının manipülasyonuna engel olmak mümkün değildir. Kullanıcı hak tanımlamaları bulunmadığı için her türlü program tam yetki ile sisteme erişebilmektedir. Özellikle Pocket PC 2002 sürümü, PDA Secure ve PDA Defense gibi, 3ncü parti yazılımlarla kapatılamayan birçok açığa sahiptir.
Dahası, PPC için kesinlikle bir sertifika yönetimi olmalıdır. Ekstra yazılımlarla sağlanan bir sertifika yazılımı bulunmadığı için de PPC’ler sadece kişisel kullanım için uygundur.
Linux
Linux işletim sistemi, günümüze kadarki işletim sistemleri içinde en güvenli ortamı sağlamaktadır. Bunu ise prosesler için izinleri ve öncelikleri belirleyebilme yeteneğine borçludur. Ancak bunun yanında, DMA fonksiyonları ve izinsiz ve kontrolsüz eşlemeler gibi birçok açığı da bulunmaktadır. Dahası Linux için yazılmış birçok virüs ve truva atı da bulunmaktadır. Durumu biraz daha sıkıntıya sokan nokta ise, Linux için 3ncü parti herhangi bir güvenlik yazılımına sahip olmamasıdır.
Mevcut Linux kullanan çok fazla cihaz olmayışı da, diğer işletim sistemlerinin yerine Linux kullanmak isteyen firmalar için oldukça riskli görülmektedir.
Linux, diğer işletim sistemleri arasında en güvenilir işletim sistemi olarak görülmekle birlikte yukarıda bahsedilen nedenlerele "tam güvenilir" işletim sistemi olarak tanımlanamamaktadır.
Sonuç
Bugün, mobil işletim sistemlerinin hiçbiri yüksek güvenlik gerektiren uygulamalar için uygun değildir. Hiçbir işletim sistemi güvenli bir veri giriş/çıkışı sağlamamaktadır. Dahası, birçok güvenlik açığına da sahiptirler. Bu nedenle mobil cihazlar, devamlı olarak güvenlik yönünde iyi izlenerek kullanılmalı ve belirli bazı riskleri taşıdıkları kabul edilmelidir. Riskli uygulamalarda PDA Defense gibi programların kullanılması bu açıkların çoğunluğunun ortadan kaldırılması için faydalı olacaktır. Diğer yandan son kullanıcılar için, çok fazla sayıda güvenlik yazılımının bir arada kullanılması da, hem yatırım maliyetlerini fazlaca yükseltecek hem de bu uygulamaların yönetilebilirliğini azaltacaktır.
Bu sepeble, kişisel kullanım dışında bir amaçla taşınabilir cihazları kullanacaksanız, gözünüz hep üzerinde olmalıdır ve bazı temel güvenlik paketlerine de bütçe ayırmanız gerekebilir.
Son olarak Avustralya hükümetinin, taşınabilir cihazların işte kullanılmaları üzerine yaptığı araştırma sonuçlarını verip yazıyı sonlandırmak istiyorum. Böylece profesyonel kullanımda yönelimlerin doğrultusu daha açık olarak görülebilir.
Çalışan halkın 1/3'ü ofis dışında çalışıyor.
Ofis dışında çalışanların en çok kullandıkları cihazlar/hizmetler Özellikle son grafik dikkat çekici.
kaynak :
http://www.ceplab.com/makale/mobil-isletim-sistemleri/